Autentificarea în doi pași: ghid complet 2026

Ce este 2FA, de ce SMS-ul nu e suficient, cum funcționează aplicațiile authenticator și pe ce conturi activezi autentificarea în doi pași.

Redacția Sigur Online Actualizat la

O parolă puternică este esențială — dar nu mai este suficientă singură. Breșele de date, phishingul și atacurile de tip credential stuffing au atins un nivel la care chiar și o parolă corect construită poate ajunge în mâinile unui atacator.

Soluția este un al doilea strat de verificare: autentificarea în doi pași.

Ce este autentificarea în doi pași

Autentificarea în doi pași (cunoscută și ca 2FA — two-factor authentication sau autentificare cu doi factori) adaugă o a doua verificare după introducerea parolei.

Logica este simplă: în loc să fie suficient un singur lucru (parola, ceva ce știi), accesul necesită și un al doilea factor — ceva ce ai (telefonul tău, o cheie hardware) sau ceva ce ești (amprenta, recunoașterea facială).

Chiar dacă un atacator află parola ta (dintr-o breșă de date, prin phishing sau prin orice alt mijloc), nu poate accesa contul fără al doilea factor — care se află pe dispozitivul tău fizic.

Rezultatul practic: conturile cu 2FA activat sunt exponențial mai greu de compromis de la distanță.

Dacă vrei mai multe detalii despre terminologie: Dicționar — autentificare în doi pași

Tipuri de autentificare în doi pași

Nu toate formele de 2FA sunt egale. Iată o prezentare de la cel mai puțin sigur la cel mai sigur:

SMS — cel mai răspândit, dar cel mai vulnerabil

Primești un cod de 6 cifre prin SMS, pe care îl introduci după parolă. Este metoda oferită de cele mai multe servicii și este mai bună decât absența oricărui 2FA.

Problema: SMS-ul are vulnerabilități structurale. Codurile pot fi interceptate prin atacuri asupra rețelei de telefonie (atacuri SS7), iar numărul tău de telefon poate fi preluat prin SIM swapping — o metodă despre care vorbim în detaliu mai jos.

Dacă un serviciu oferă doar SMS, activează-l. Dar dacă ai opțiuni mai sigure, alege-le pe acelea.

Aplicații authenticator — echilibrul optim securitate/comoditate

Aplicațiile authenticator generează coduri unice de 6 cifre direct pe dispozitivul tău, fără a utiliza rețeaua de telefonie. Codurile se schimbă la fiecare 30 de secunde și sunt valabile numai în acel interval.

Cele mai utilizate aplicații:

  • Google Authenticator (iOS și Android) — simplu, fără backup în cloud implicit
  • Microsoft Authenticator (iOS și Android) — include backup opțional și funcționează cu conturi Microsoft
  • Aegis (numai Android, open source) — recomandat utilizatorilor care doresc control complet și export criptat al codurilor

Toate generează coduri în același standard (TOTP), deci sunt interschimbabile: dacă un serviciu acceptă Google Authenticator, acceptă și Aegis sau Microsoft Authenticator.

Avantajul față de SMS: codurile nu trec niciodată prin rețeaua de telefonie, deci nu pot fi interceptate prin atacuri de rețea sau SIM swapping.

Chei hardware — securitatea maximă

O cheie hardware (cum ar fi YubiKey) este un dispozitiv fizic, asemănător unui stick USB, pe care îl conectezi la calculator sau apropiezi de telefon pentru autentificare.

Avantaje față de aplicațiile authenticator:

  • Nu poate fi phishuit — cheia verifică automat că site-ul este cel real, nu o copie frauduloasă
  • Nu depinde de un telefon sau de o baterie
  • Rezistă la toate tipurile de atacuri de la distanță

Dezavantaj: cost (50-80 EUR per cheie), necesită să o ai mereu la tine și nu orice serviciu îl acceptă. Este recomandat persoanelor cu risc ridicat: jurnaliști, activiști, persoane cu acces la date sensibile ale altor oameni.

Passkey-uri — viitorul autentificării

Passkey-urile nu sunt un al doilea factor — sunt un înlocuitor complet al parolei, bazat pe criptografie cu cheie publică. Autentificarea se face prin amprenta sau fața ta, PIN-ul dispozitivului sau cheia hardware.

Nu există o parolă de furat și nici un cod de interceptat. Suportul este în creștere rapidă pe platforme majore (Google, Apple, Microsoft) și pe servicii populare.

De ce SMS-ul este mai puțin sigur: SIM swapping explicat

SIM swapping este un atac prin care un criminal preia controlul numărului tău de telefon fără să îți fure fizic telefonul — convingând operatorul tău de telefonie să transfere numărul pe un SIM aflat în posesia lui.

Cum se desfășoară un atac de SIM swapping

  1. Atacatorul adună informații despre tine: nume, adresă, ultimele cifre ale cardului de identitate (adesea obținute din breșe de date sau rețele sociale)
  2. Contactează serviciul clienți al operatorului tău (Vodafone, Orange, Digi, Telekom) pretinzând că ești tu și că ai pierdut telefonul sau SIM-ul
  3. Solicită transferul numărului pe un SIM nou (pe care îl deține el)
  4. Operatorul, dacă nu are proceduri de verificare stricte, efectuează transferul
  5. De la acel moment, atacatorul primește toate SMS-urile și apelurile destinate numărului tău — inclusiv codurile 2FA

Consecințe

Cu numărul tău de telefon sub control, atacatorul poate:

  • Reseta parola oricărui cont care folosește numărul tău ca metodă de recuperare
  • Primi codurile 2FA prin SMS pentru acele conturi
  • Accesa banking online, email, rețele sociale

⚠️ Atenție: SIM swapping-ul a fost raportat și în România. Semne că ai fost victimă: telefonul pierde brusc semnalul (îl vede ca „Fără SIM”), nu mai primești apeluri sau SMS-uri, primești emailuri că un SIM nou a fost activat pe contul tău. Dacă se întâmplă asta, contactează imediat operatorul și banca.

Cum activezi 2FA pas cu pas

Procesul variază ușor de la un serviciu la altul, dar urmează în general aceiași pași:

  1. Intră în setările contului — caută secțiunea „Securitate”, „Cont” sau „Confidențialitate”
  2. Găsește opțiunea 2FA — poate fi numită „Autentificare în doi pași”, „Verificare în doi pași”, „Two-factor authentication” sau „2FA”
  3. Alege metoda — dacă ai opțiunea, alege „Aplicație authenticator” în locul SMS
  4. Scanează codul QR cu aplicația authenticator instalată pe telefon
  5. Confirmă configurarea introducând primul cod generat de aplicație
  6. Salvează codurile de rezervă — serviciile oferă 8-10 coduri de unică folosință pentru situații de urgență. Salvează-le în afara telefonului (document imprimat, fișier criptat)

Pe ce conturi activezi 2FA obligatoriu

Nu toate conturile necesită același nivel de protecție, dar unele sunt critice:

Email — prioritatea numărul 1

Emailul este cheia tuturor celorlalte conturi: dacă este compromis, atacatorul poate reseta parolele pentru orice alt serviciu. 2FA pe email nu este opțional — este esențial.

Banking online și aplicații financiare

Cele mai multe bănci din România au deja 2FA obligatoriu (BT Pay, George, ING Home’Bank). Dacă banca ta oferă opțiunea aplicației authenticator în locul SMS, activez-o.

Rețele sociale

Facebook, Instagram, TikTok, LinkedIn — conturile compromise pe rețele sociale sunt folosite pentru fraude, phishing și extorcare. Activează 2FA pe toate.

Managerul de parole

Dacă managerul tău de parole este compromis, toate parolele tale sunt compromise simultan. Este cel mai important cont care necesită cel mai puternic 2FA disponibil.

Alte conturi cu informații sensibile

Cloud storage (Google Drive, iCloud, OneDrive), platforme de comerț electronic (eMag, Elefant), platforme de gaming, servicii de plată (PayPal, Revolut) — toate merită 2FA activat dacă opțiunea există.

Codurile de rezervă: pasul pe care mulți îl uită

Când activezi 2FA, serviciul îți oferă o listă de coduri de rezervă (backup codes). Acestea sunt coduri de unică folosință pe care le poți folosi dacă nu ai acces la telefonul cu aplicația authenticator.

Nu le ignora. Sunt singura modalitate de a intra în cont dacă telefonul este pierdut, furat, stricat sau dacă ai reinstalat aplicația fără transfer.

Unde le salvezi:

  • Imprimat pe hârtie, într-un loc sigur (nu în aceeași geantă cu telefonul)
  • Într-un fișier criptat pe un alt dispozitiv
  • Scrise de mână și stocate în mod securizat

Nu le salva în email sau în note neprotejate pe telefon — dacă contul este compromis, aceste locuri sunt primele verificate.

Ce să faci acum

  1. Instalează o aplicație authenticator pe telefon — Google Authenticator, Microsoft Authenticator sau Aegis (Android) — înainte de a activa 2FA oriunde.
  2. Activează 2FA pe email imediat, alegând aplicația authenticator dacă este disponibilă.
  3. Activează 2FA pe banking și verifică dacă banca ta oferă altceva în afară de SMS.
  4. Activează 2FA pe rețele sociale — Facebook, Instagram, LinkedIn, TikTok.
  5. Salvează codurile de rezervă pentru fiecare cont în care activezi 2FA și stochează-le în afara telefonului.

Întrebări frecvente despre autentificare în doi pași

Ce se întâmplă dacă pierd telefonul și am 2FA activat?

Ai două opțiuni: codurile de rezervă (backup codes) pe care ar trebui să le fi salvat la activarea 2FA, sau procedura de recuperare a contului a serviciului respectiv (de obicei implică verificarea identității prin email alternativ sau document de identitate). Acesta este motivul pentru care salvarea codurilor de rezervă este obligatorie imediat după activarea 2FA.

Aplicația authenticator se poate muta pe un telefon nou?

Da, dar procesul variază în funcție de aplicație. Google Authenticator are funcție de transfer prin cod QR. Aegis (Android) permite export criptat. Microsoft Authenticator are backup în cloud (opțional). Este recomandat să faci acest transfer înainte de a schimba telefonul, nu după. Unii oameni preferă să aibă 2FA configurat pe două dispozitive simultan ca redundanță.

Este 2FA prin SMS complet nesigur?

Nu complet nesigur, dar semnificativ mai slab decât o aplicație authenticator. SMS-ul este mai bun decât absența oricărui 2FA. Dacă un serviciu oferă doar SMS, activează-l oricum — protejează față de marea majoritate a atacatorilor oportuniști. Dar dacă ai opțiunea de aplicație authenticator, alege întotdeauna aceea.

Ce sunt passkey-urile și cum diferă de 2FA?

Passkey-urile sunt o tehnologie mai nouă care înlocuiește complet parola cu o cheie criptografică stocată pe dispozitivul tău. Autentificarea se face prin amprentă, față sau PIN-ul dispozitivului. Nu există o parolă de furat și nici un cod de interceptat. Află mai multe în dicționarul nostru de termeni de securitate.

Cât timp expiră un cod 2FA dintr-o aplicație authenticator?

Codurile TOTP (Time-based One-Time Password) — cele generate de aplicații ca Google Authenticator sau Aegis — expiră după 30 de secunde. Sunt valabile numai în acel interval de timp, ceea ce face interceptarea lor extrem de dificilă chiar dacă un atacator le vede.

Trebuie să introduc codul 2FA la fiecare autentificare?

Depinde de setările serviciului și de preferințele tale. Multe servicii oferă opțiunea „Ai încredere în acest dispozitiv 30 de zile”, care reduce frecvența verificărilor 2FA pe dispozitive personale. Pe dispozitive publice sau împrumutate, nu bifa niciodată această opțiune.

Nu te lăsa păcălit online

Ghiduri practice, teste independente și comparații clare — în limba ta, fără jargon de marketing.

Citește ghidurile Încearcă instrumentele